>운영 및 유지보수 >안전 >Bee-Box LDAP 인젝션을 이용한 사격장 연습 방법

Bee-Box LDAP 인젝션을 이용한 사격장 연습 방법

WBOY
WBOY앞으로
2023-05-13 09:49:051721검색

SQL 주입의 본질이 문자열을 이어붙이는 것이라면 주입할 수 있는 모든 것의 본질은 문자열을 이어붙이는 것입니다. 주입의 일종으로 LDAP 주입도 예외는 아닙니다. 괄호를 이어붙이는 것입니다(SQL 주입). 또한 괄호를 연결하지만 문자열을 연결한다고 말하는 것이 더 일반적입니다.

환경 구성 장에서는 bee-box의 LDAP 환경 구성에 대해 자세히 논의했습니다. 사격장 실습 장에서는 PHP와 LDAP 간의 연결 프로세스에 대해 자세히 설명하고, Bee-Box에서 사용되는 특수 기능을 소개했습니다. 중간 및 괄호 연결을 위한 몇 가지 기술.

먼저 bwapp의 ldap 사격장의 로그인 프로세스에 대해 이야기해 보겠습니다.

如何进行bee-box LDAP注入的靶场练习

우선, 이것은 LDAP 로그인 인터페이스입니다. URL은 http://192.168.3.184/bWAPP/ldap_connect.php입니다. . 이 php를 직접 살펴보세요. 파일에 무엇이 쓰여져 있나요?

PHP 연결 LDAP 기능에 대한 자세한 설명

如何进行bee-box LDAP注入的靶场练习

ldap_connect.php 파일의 코드 133부터 시작하여 5개의 변수는 $message, $login, $password, $server, $dn입니다.

5개 변수 중 첫 번째 변수의 용도는 무엇인가요? 두 번째는 LDAP 서버에 로그인하기 위한 사용자 이름, 세 번째는 비밀번호, 네 번째는 서버 주소, 다섯 번째는 고유 이름입니다(설명: 전체 LDAP 경로) ).

첫 번째 if 문은 로그인 LDAP 양식을 지우는 것이고, 두 번째 if 문은 5개의 변수가 null인지 확인하는 것입니다. 이것들은 모두 else에 있습니다. if 및 else 문을 하나씩 실행해 보겠습니다.

如何进行bee-box LDAP注入的靶场练习

먼저 첫 번째 if 앞에 있는 ldap_connect, ldap_set_option, ldap_bind 세 가지 함수를 살펴보고, 이 세 가지 함수의 기능을 차례로 설명해보세요.

ldap_connect: ldap 데이터베이스에 연결하는 데 사용되며 형식은 다음과 같습니다.

$server = “localhost”

$LDAPCONN=LDAP_Connect($server)

$LDAPCONN의 반환 값이 숫자 유형인 경우 반환 결과가 0이면 연결이 실패하고, 다른 값으로 연결이 성공합니다.

ldap_set_option($link_identifier,$option, &$retval): 세 개의 매개변수를 받습니다

$link_identifier

ldap_connect() 함수는 LDAP 연결 식별자를 반환합니다(LDAP 연결이 성공적인지 확인하기 위해)

$option은 value 다음과 같습니다.

LDAP_OPT_DEREF(int): 검색 시 별칭 처리 방법 값 범위는 다음과 같습니다. LDAP_DEREF_NEVER(0, 기본값), LDAP_DEREF_SEARCHING(1), LDAP_DEREF_FINDING(2), LDAP_DEREF_ALWAYS(3)

LDAP_OPT_NETWORK_TIMEOUT (int): 네트워크 시간 초과 초, LDAP_NO_LIMIT(0, 기본값)는 시간 초과가 발생하지 않음을 의미합니다.

LDAP_OPT_PROTOCOL_VERSION(int): 사용된 LDAP 프로토콜 버전을 지정합니다. 값 범위는 LDAP_VERSION2(2, 기본값), LDAP_VERSION3(3)입니다.

LDAP_OPT_REFERRALS(bool): LDAP 라이브러리가 LDAP 서버에서 반환된 참조를 자동으로 따르는지 여부입니다. 값 범위는 TRUE(1, 기본값), FALSE(0)입니다.

&$retval은 옵션 값을 허용하는 변수입니다

예를 들어 bwapp의 코드는

ldap_set_option($ds,LDAP_OPT_PROTOCOL_VERSION, 3);

이 코드의 의미는 LDAP 연결이 성공하면 그런 다음 LDAP를 지정하십시오. 사용되는 프로토콜은 버전 3입니다. (여기서 자세히 설명할 필요는 없습니다. 모두 적용 가능한 형식입니다.)

ldap_bind($link_identifier,$bind_rdn,$bind_password)

$link_identifier: ldap_connect() 함수에 의해 반환된 LDAP 연결 식별자(LDAP가 연결 성공)

$bind_rdn : 지정된 rdn, 즉 로그인 경로를 사용합니다. 예: cn=admin,dc=bwapp,dc=local

$bind_password: 로그인 비밀번호를 지정합니다.

ldap_search($link_identifier, $dn,$filter): LDAP 디렉터리 검색 함수는 일반적으로 다른 함수에서 $result_identifier로 참조하는 결과 집합의 리소스 설명자를 성공적으로 반환하고 실패 시 FALSE를 반환합니다.

$link_identifier: ldap_connect() 함수에서 반환된 LDAP 연결 식별자(연결 성공 여부 확인)

$dn: 검색할 디렉터리의 DN

$filter: 검색 필터. 예를 들어 "(objectClass=*)"는 모든 항목을 검색한다는 의미입니다(읽기 기능의 경우 모든 속성을 의미함).

bwapp의 소스 코드: ldap_search($ds, $dn,$filter), 여기서 $ds=ldap_connect(),

$dn=”DC=bwapp,DC=local”,$filter=(cn=*) (즉, 모든 범위의 cn), 이 세 매개변수는 ldap_search 함수가 현재 서버의 모든 디렉터리가 (bwapp에 상대적으로) 쿼리된다는 것을 나타냅니다.

ldap_count_entries($link_identifier,$search): 쿼리 결과 수를 반환합니다.

$link_identifier: dap_connect() 함수에서 반환된 LDAP 연결 식별자(연결 성공 여부 확인)

$search: = ldap_search( $link_identifier, $ dn, $filter)는 쿼리 결과 집합을 반환합니다.

이제 기능이 거의 분석되었습니다. 이 연결 파일의 일반적인 아이디어를 설명하겠습니다.

如何进行bee-box LDAP注入的靶场练习

라인 149부터 라인 163까지, 코드는 얻은 다양한 값이 비어 있는지 여부를 확인합니다. 비어 있으면 프롬프트 메시지가 표시됩니다.

如何进行bee-box LDAP注入的靶场练习

165~198행은 로그인 성공 여부를 확인하는 데 사용됩니다. 165~184행은 LDAP 서비스가 존재하는지 확인하는 데 사용됩니다. 데이터베이스 이름).

如何进行bee-box LDAP注入的靶场练习

200번째 줄부터 236번째 줄까지 해당 dn이 존재하는지, 즉 해당 LDAP 경로가 존재하는지 여부를 확인하는 것입니다. 존재하지 않으면 해당 프롬프트 메시지가 표시됩니다. .php, 즉 LDAP 쿼리입니다. ldapi에서 쿼리 결과를 가져온 후 결과가 테이블로 출력됩니다.

LDAP 쿼리 결과 php 파일 소개

테이블이 출력되는 곳은 ldapi.php 파일입니다. 다음으로 ldapi.php의 코드를 살펴보세요.

231번째 줄부터 바로 시작하세요. 위에서 언급한 것처럼 231번째 줄부터 240번째 줄까지 LDAP 디렉토리를 바인딩해 주세요. 코드가 이해가 안 되시면 위에서 LDAP 바인딩 부분을 읽어보시면 됩니다.

如何进行bee-box LDAP注入的靶场练习

LDAP 디렉터리가 성공적으로 바인딩되면 쿼리 코드는 242행부터 시작됩니다.

如何进行bee-box LDAP注入的靶场练习

POST 매개변수 사용자의 값을 수신하여 별칭($search_field_1, $search_field_2, $search_field_3) 설정까지, 규정 필터 ($filter) (필터는 SQL 문과 유사한 쿼리 문입니다.) 구문 규칙은 다음과 같습니다.

등호 = 특정 필드가 지정된 값을 갖도록 요구하는 필터를 만듭니다. Any 은 NULL을 제외한 모든 값과 동일할 수 있는 필드를 나타냅니다. 괄호 ( ) 다른 논리 연산자가 작동할 수 있도록 별도의 필터를 사용하세요. 필터를 & 과 결합하세요. 해당 시리즈의 모든 조건이 true여야 합니다. 또는 | 필터를 결합합니다. 해당 시리즈의 조건 중 하나 이상이 true여야 합니다. Non ! 필터 기준과 일치하는 모든 항목을 제외하세요.

로드 문제를 일으킬 수 있는 모든 개체 반환:

objectClass=*

"사람"으로 지정된 모든 사용자 개체 반환:

(&(objectClass=user)(objectCategory=person))

우편 요금만 반환 목록:

(objectCategory=group)

공용 폴더만 반환:

(objectCategory=publicfolder)

모든 사용자 개체를 반환하지만 기본 이메일 주소가 "test"로 시작하는 사용자 개체 제외:

( &(&(objectClass= user)(objectCategory=person))(!(mail=test*)))

기본 이메일 주소가 "test"로 끝나는 개체를 제외한 모든 사용자 개체를 반환합니다.

(& (&(objectClass=user)(objectCategory= person))(!(mail=*test)))

모든 사용자 개체를 반환하지만 기본 이메일 주소에 "test"라는 단어가 포함된 개체는 제외합니다.

( &(&(objectClass=user)(objectCategory=person) )(!(mail=*test*)))

"사람"으로 지정되고 그룹 또는 메일 그룹 및 별칭 개체에 속하는 모든 사용자 개체를 반환합니다:

(|(&(objectClass=user)(objectCategory =person))(objectCategory=group))

"person"으로 지정된 모든 사용자 개체, 모든 그룹 개체 및 모든 연락처를 반환하지만 값이 "extensionAttribute9"로 정의된 개체는 제외합니다.

(&(|( |(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9 =*)))

모든 DN을 반환합니다(CN=GRoup,OU=Users,DC =Domain,DC) 그룹 구성원으로 식별된 사용자:

(&(objectClass=user)(objectCategory=person)(memberof= CN=Group,CN=Users,DC=Domain,DC=com))

모든 사용자 반환 :

Microsoft®Active Directory® LDAP 서버: (&(objectCategory=person)(objectClass=user))

OpenLDAP™ 서버: (objectClass=inetOrgPerson)

IBM® Notes®Domino LDAP 서버: (objectClass=dominoPerson)

이메일 주소가 "사람" 또는 "그룹"으로 정의된 모든 개체에 대해 IBM Notes Domino LDAP를 검색합니다.

( &(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=* ))

ActiveDirectory: 이메일 주소가 있는 모든 유효한(비활성화되지 않은) 사용자를 반환합니다:

(&(objectCategory =person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803: =2)))

그룹 DN이 Group_1 또는 Group_2의 구성원으로 식별되는 모든 사용자를 반환합니다.

(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain, DC=com)))

extensionAttribute1 값이 "Engineering" 또는 "Sales"인 모든 사용자를 반환합니다

(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

구문 소개 규칙이 완료된 후 267

如何进行bee-box LDAP注入的靶场练习

부터 시작하는 코드를 분석합니다. $ldap_fields_to_find는 테이블 인쇄 및 출력과 ldap 쿼리 결과 수신을 용이하게 하는 배열을 정의하여 $ldap_fields_to_find를 ldap_search 함수의 네 번째 매개변수로 사용하여 사용을 나타냅니다. 이 별칭의 수신된 결과를 키-값 쌍의 형태로 저장한 다음 결과를 $info 배열로 반환하고 마지막으로 각 키를 287행에서 291행까지 각 변수에 매핑하고 마지막으로 출력을 반복하여 테이블을 인쇄합니다. 이 시점에서 쿼리가 완료됩니다.

LDAP 삽입 스플라이싱 구문에 대한 간략한 소개

LDAP 필터는 SQL 쿼리문과 유사하므로 bwapp에서 필터를 작성하는 방법만 살펴보세요. ldapi.php 파일에서 $filter 변수를 직접 살펴보세요:

$filter="(|($search_field_1=$search_for)($search_field_2=$search_for)($search_field_3=$search_for))";

핵심 sql문의 작은 따옴표를 잇는 데 있고, ldap 문의 본질은 괄호를 잇는 데 있습니다.

이제 모든 사용자를 쿼리하고 싶습니다. user에 *를 직접 입력하면 $filter는 $filter="(|($search_field_1=*)($search_field_2=*)($search_field_3=*) )";

가 됩니다.

bwapp에서 결과를 보세요

如何进行bee-box LDAP注入的靶场练习

많은 사용자가 반환되지만 충분하지 않습니다. 관리자를 보고 싶기 때문에 그런 LDAP 필터를 구성해야 합니다.

$filter="(|($search_field_1=*)(objectclass=*)($search_field_2=*)($search_field_3=*))";

이 방법으로 관리자를 포함한 모든 사용자를 쿼리할 수 있습니다. objectclass =* 존재하는 한, 즉 전역적으로 검색한다는 의미입니다.

그런 다음 사용자 필드에 *)(objectclass=*를 입력합니다.

결과를 살펴보세요. 관리자가 나타나고 주입이 성공합니다.

如何进行bee-box LDAP注入的靶场练习

*

위 내용은 Bee-Box LDAP 인젝션을 이용한 사격장 연습 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제